Accueil > Technologie > La fameuse histoire du NXT..

Article précédent : Cryptomonnaie : la seconde génération Article suivant : Twitch, streaming video, accepte désormais les paiements en Bitcoin

La fameuse histoire du NXT..

2014, la plateforme d’échanges de crypto monnaies BTer a été piraté : 50 millions de NXT ont été volés.

La plateforme d’échanges de crypto monnaies BTer a été piratée : 50 millions de NXT ont été volés. La communauté NXT a su faire preuve d’intelligence et ressort grandie de cette expérience. Détails de l’affaire.

Il y a quelques jours, la société chinoise BTer, une plateforme d’échanges spécialisée dans les monnaies électroniques (Bitcoin, NXT…) a été la cible d’un pirate. BTer est la principale plateforme d’échanges de NXT, une crypto monnaie qui fonctionne différemment du Bitcoin. En effet, le Bitcoin repose sur la preuve de travail, ou encore appelé Proof of Work (PoW) alors que NXT repose sur le principe de la preuve d’enjeu, plus connu sous le nom anglais Proof of Stake (PoS).

Les faits remontent au 15 août 2014, les forumeurs de la communauté NXT, une cryptomonnaie jeune et prometteuse, eurent la surprise à leur réveil de recevoir un email les avertissant des évènements de la nuit. Un pirate venait de voler à BTer la modique somme de 51 millions de NXT, soit au cours du jour l’équivalent 1,75 million de dollars.

BTer demanda alors l’aide et le conseil de la communauté principalement concernée sur le forum de la communauté NXT. Il s’avère que BTer avait une sérieuse faille dans sa sécurité : tout d’abord, il y a eu une attaque par analyse sociale : le pirate a identifié le nom des développeurs, et les a cherchés sur internet. Il a trouvé le nom du responsable de la plateforme, et il a piraté son compte Linode, obtenant ainsi son mot de passe. Ce dernier utilisant le même mot de passe sur la plupart de ses comptes, il a été ensuite facile au pirate d’entrer sur la plateforme de BTer via une injection SQL. NXT était la monnaie la plus échangée sur cette plateforme, et les autres monnaies étaient en stockage froid, c’est-à-dire pas directement accessible via internet. En bref, tout n’était pas accessible. Le pirate a pris ce qu’il pouvait et, en l’occurrence, uniquement des NXT.

Plusieurs problèmes se posèrent alors :

Il faut savoir que 51 millions de NXT représentent 5% de sa masse monétaire (il n’existe qu’un milliard de NXT).
Bien que n’étant pas responsable de ce problème de sécurité, une sérieuse atteinte à l’image et à la crédibilité de NXT était en jeu.
BTer n’était pas en mesure de rembourser ses clients.
Laisser en possession du pirate cette quantité de NXT lui donnait un grand pouvoir sur cette monnaie : il obtenait ainsi au moins 5% de la puissance de forge totale de NXT (cf. PoS).
Les représentants de la plateforme d’échange BTer étaient au bord de la panique face à cet évènement. Plusieurs solutions se présentaient :

La communauté NXT pouvait créer une fourche dans le livre de comptes (blockchain) : faire un rollback. En résumé, si la majorité des utilisateurs de NXT décidaient de reconstruire un historique sans la transaction pirate, ils pouvaient ainsi valider cette fourche comme étant la bonne branche de la blockchain. Imaginez le problème que présentait cette solution : manipuler ainsi le livre de comptes aurait motivé une perte de confiance dans cette crypto monnaie. BTer, n’écoutant que peu les conseils des forumeurs, a lancé dès le lendemain, soit le 16 août, cette nouvelle chaine et invité les utilisateurs de NXT à forger sur celle-ci.
Accepter ce qu’il venait de se passer, et subir cette perte.
Tenter de négocier avec le pirate. Effectivement, le livre de comptes étant par définition public, chacun pouvait poster un commentaire sur le compte du pirate. Il y a d’ailleurs eu un déferlement de propos : des insultes, des propositions indécentes, des menaces…
La majorité des utilisateurs de NXT a cependant fait preuve d’une grande intégrité en refusant l’option du rollback, et n’a pas suivi la société BTer sur la nouvelle branche qu’elle avait créée.

Parallèlement à ça, la communauté a même réalisé un coup de maître : négocier en direct avec le pirate. Dans la nuit du 16 au 17 août, BTer a vu revenir sur son compte plus de 85% des fonds volés, soit 42 millions de NXT. Mais ce que personne ne sait encore et que je viens dévoiler aujourd’hui, c’est le « comment ? ».

Jean-Laurent Tari, un français bien connu du forum, PDG de Crypto Finance Analysis Consulting1 était en discussion sur Skype avec Lin, développeur de BTer.

Quand soudain, la conversation a changé : le hacker venait de pirater le compte Skype de Lin, qui n’avait pas pensé, après cet incident, à changer son mot de passe…

Ne se laissant pas prendre de court, Jean-Laurent avait travaillé avec ses collaborateurs Florine Oury (moi-même), directrice Communication/Marketing et chargée des Ressources Humaines chez CFA Consulting, et Bas Wisselink (Damelon sur le forum de NXT) sur le profil du pirate : il était clair qu’il était dans une position de pouvoir, et qu’il aimait ça. Le choix de son pseudo sur le forum (sur lequel il s’était inscrit plus tôt) « TheSir » appuyait également ce profil. Sa façon nonchalante de s’adresser aux différents interlocuteurs qu’il avait pu avoir, également. Par exemple, il avait la veille cessé les négociations en leur souhaitant tout simplement bonne nuit.

Connaissant le parcours de Jean-Laurent Tari, (ingénieur en informatique, ancien pirate « white hat » durant ses études), nous lui avons conseillé d’aller dans le sens du hacker.

Notre tactique était prête : il ne fallait pas l’insulter, le menacer ni être dur avec le pirate, mais au contraire, il fallait l’admirer, le féliciter sur ce joli coup, pour réussir à capter son attention.

Il s’en est alors suivi pour Jean-Laurent Tari une longue partie de poker. Tout d’abord, le négociateur a demandé au pirate la preuve qu’il s’agissait bien de lui par l’envoi d’un NXT sur son compte depuis celui ayant reçu les 51 millions de NXT, ce qui fut fait. Après cela, le vrai Lin a fait apparition sur son compte Skype, ce qui porta le nombre de nos protagonistes à trois. De 3:00 à 9:00 du matin, le 17 août 2014, Jean-Laurent Tari, assisté par Marcos Lopez Porto, The-Lawyer-of-NXT sur le forum, et fondateur de NXT Legal, a négocié avec le pirate et ainsi pu récupérer 85% des pertes, soit l’équivalent d’1,5 million de dollars, contre 330 Bitcoins payés par BTer.

Comme souvent, il y a une morale à cette histoire : garder son calme et son intégrité pour faire face à une situation stressante et extrême a été plus efficace que la panique et les plans B médiocres. La communauté NXT a su faire preuve d’intelligence et ressort grandie de cette expérience. Elle a su montrer toute la force de la cryptomonnaie NXT !

Crypto Finance Analysis Consulting est une entreprise dont le but est de créer un lien entre en monde de la crypto et le monde « réel ».

Source : Florine Oury pour Contrepoint


14 janvier 2018, par Ducky
Revenir en haut de la page ?

Voir aussi :

Répondre à cet article

Qui êtes-vous ?
Ajoutez votre commentaire ici <{sinon{ul}} class="editer-groupe"> <{sinon{li}} class='editer saisie_texte obligatoire'>

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

<{sinon{li}} class='saisie_mots_forum'>
Image

Suivre les commentaires : RSS 2.0 | Atom

Article : Même catégorie